Falha na geração de senhas dMSA no Windows Server 2025 permite ataques Cross-Domain indefinidos

Pesquisadores de cibersegurança divulgaram o que consideram uma "falha de design crítica" nas Contas de Serviço Gerenciadas Delegadas (dMSAs), um recurso introduzido no Windows Server 2025. Essa vulnerabilidade, apelidada de "Golden dMSA", representa uma séria ameaça, permitindo que hackers realizem movimentos laterais entre domínios e mantenham acesso persistente a todas as contas de serviço gerenciadas e seus recursos em todo o Active Directory, de forma indefinida.

De acordo com um relatório da Semperis, compartilhado com o The Hacker News, a exploração bem-sucedida dessa falha poderia permitir que invasores contornem as barreiras de autenticação e gerem senhas para todas as dMSAs e gMSAs (group Managed Service Accounts), bem como para as contas de serviço associadas.

A técnica "Golden dMSA" é classificada como de baixa complexidade, uma vez que a vulnerabilidade simplifica a geração de senhas por força bruta. No entanto, para que os hackers a explorem, eles devem já possuir uma chave raiz do Serviço de Distribuição de Chaves (KDS), que normalmente está disponível apenas para contas privilegiadas, como Administradores de Domínio raiz, Administradores Corporativos e SYSTEM.

Descrita como a "joia da coroa" da infraestrutura gMSA da Microsoft, a chave raiz KDS atua como uma chave mestra. Isso significa que um invasor pode derivar a senha atual para qualquer conta dMSA ou gMSA sem a necessidade de se conectar ao controlador de domínio (DC). "O ataque explora uma falha de design crítica: uma estrutura usada para o cálculo de geração de senhas contém componentes previsíveis baseados em tempo com apenas 1.024 combinações possíveis, tornando a geração de senhas por força bruta computacionalmente trivial", explicou o pesquisador de segurança Adi Malyanker.

As Contas de Serviço Gerenciadas Delegadas são um novo recurso introduzido pela Microsoft no Windows Server 2025 para facilitar a migração de contas de serviço legadas existentes e para combater ataques de Kerberoasting.

As contas de máquina vinculam a autenticação diretamente a máquinas explicitamente autorizadas no Active Directory (AD), eliminando a possibilidade de roubo de credenciais. Ao vincular a autenticação à identidade do dispositivo, apenas identidades de máquina específicas mapeadas no AD podem acessar a conta.

O ataque "Golden dMSA", semelhante aos ataques "Golden gMSA" no Active Directory, ocorre em quatro etapas, uma vez que o invasor obtém privilégios elevados dentro de um domínio:

1. Extração do material da chave raiz KDS: Elevando para privilégios SYSTEM em um dos controladores de domínio.

2. Enumeração de contas dMSA: Usando as APIs LsaOpenPolicy e LsaLookupSids ou uma abordagem baseada em LDAP (Lightweight Directory Access Protocol).

3. Identificação do atributo ManagedPasswordID e hashes de senha: Através de suposições direcionadas.

4. Geração de senhas válidas (ou seja, tickets Kerberos): Para qualquer gMSA ou dMSA associado à chave comprometida e teste-as através de técnicas de Pass the Hash ou Overpass the Hash.

   
   

"Este processo não requer acesso privilegiado adicional uma vez que a chave raiz KDS é obtida, tornando-o um método de persistência particularmente perigoso", disse Malyanker.

O ataque destaca o limite de confiança crítico das contas de serviço gerenciadas, que dependem de chaves criptográficas em nível de domínio para segurança. Embora a rotação automática de senhas forneça excelente proteção contra ataques de credenciais típicos, Administradores de Domínio, DnsAdmins e Operadores de Impressão podem contornar essas proteções e comprometer todas as dMSAs e gMSAs na floresta.

A Semperis observou que a técnica "Golden dMSA" transforma a violação em um backdoor persistente em toda a floresta. Isso porque comprometer a chave raiz KDS de qualquer domínio dentro da floresta é suficiente para violar todas as contas dMSA em todos os domínios dessa floresta. Em outras palavras, uma única extração de chave raiz KDS pode ser usada para obter comprometimento de contas entre domínios, coleta de credenciais em toda a floresta e movimento lateral entre domínios usando as contas dMSA comprometidas.

"Mesmo em ambientes com várias chaves raiz KDS, o sistema consistentemente usa a primeira (mais antiga) chave raiz KDS por motivos de compatibilidade", apontou Malyanker. "Isso significa que a chave original que comprometemos poderia ser preservada pelo design da Microsoft – criando um backdoor persistente que poderia durar anos."

Ainda mais preocupante é o fato de que o ataque contorna completamente as proteções normais do Credential Guard, que são usadas para proteger hashes de senha NTLM, Tickets de Concessão de Tickets Kerberos (TGTs) e credenciais, de modo que apenas softwares de sistema privilegiados possam acessá-los.

Após a divulgação responsável em 27 de maio de 2025, a Microsoft afirmou: "Se você tem os segredos usados para derivar a chave, você pode se autenticar como esse usuário. Esses recursos nunca foram destinados a proteger contra um comprometimento de um controlador de domínio." A Semperis também lançou um código-prova de conceito (PoC) de código aberto para demonstrar o ataque.

"O que começa como um comprometimento de um DC se transforma em ter o controle de cada serviço protegido por dMSA em toda uma floresta corporativa", disse Malyanker. "Não é apenas escalada de privilégios. É dominação digital em toda a empresa por meio de uma única vulnerabilidade criptográfica."

Via - THN